AWS Key Management Service

AWS Key Management Service （AWS KMS) は、データの保護に使用される暗号化キーの作成と制御を容易にするマネージドサービスです。 は、ハードウェアセキュリティモジュール (HSM) AWS KMS を使用して、FIPS 140-2 暗号化モジュール検証プログラム AWS KMS keys で を保護および検証します。中国 (北京) および中国 (寧夏) リージョンは、FIPS 140-2 暗号化モジュール検証プログラムをサポートしていません。 は、OSCCA 認定 HSMs AWS KMS を使用して、中国リージョンの KMS キーを保護します。

AWS KMS は、データを暗号化する他の AWS ほとんどの サービスと統合されます。 AWS KMS また、 と統合AWS CloudTrailして、監査、規制、コンプライアンスのニーズに対応するための KMS キーの使用をログに記録します。

AWS KMS API を使用して、カスタムキーストア などの KMS キーと特殊機能を作成および管理し、暗号化オペレーション で KMS キーを使用できます。詳細については、「AWS Key Management Service API リファレンス」を参照してください。

を作成および管理できます AWS KMS keys。

• HMAC キーを含めた、対称および非対称 KMS キーを作成、編集、および表示します。

• キーポリシー 、IAM ポリシー 、および 許可を使用して KMS キーへのアクセスを制御します。 は属性ベースのアクセスコントロール (ABAC) AWS KMS をサポートします。条件キーを使用してポリシーを調整することもできます。

• KMS キーのフレンドリ名であるエイリアスを作成、削除、一覧表示、更新します。また、エイリアスを使用して KMS キーへのアクセスを制御することもできます。

• 識別、オートメーション、コスト追跡のために KMS キーにタグ付けします。タグを使用して、KMS キーへのアクセスを制御することもできます。

• KMS キーを有効および無効にします。

• KMS キーの暗号化マテリアルの自動ローテーションを有効および無効にします。

• KMS キーを削除して、キーのライフサイクルを完了します。

KMS キーは暗号化オペレーションで使用できます。例については、「AWS KMS API のプログラミング」を参照してください。

• 対称または非対称 KMS キーを使用して、データを暗号化、復号、再暗号化します。

• 非対称 KMS キーを使用して、メッセージの署名と検証を行います。

• エクスポート可能な対称データキーと非対称データキーペアを生成します。

• HMAC コードを生成して検証します。

• 非対称 KMS キー を使用して共有シークレットを取得します。

• 暗号化アプリケーションに適したランダムな数値を生成します。

の高度な機能を使用できます AWS KMS。

• 異なる AWS リージョンの同じ KMS キーのコピーのように機能するマルチリージョンキーを作成します。

• KMS キーに暗号化マテリアルをインポートします。

• AWS CloudHSM クラスターでバックアップされた キーAWS CloudHSM ストアに KMS キーを作成します。

• 外部の暗号化キーにバックアップされた外部キーストアに KMS キーを作成します AWS。

• VPC のプライベートエンドポイント AWS KMS を介して に直接接続します。 VPC エンドポイントを介した AWS KMS への接続

• ハイブリッドポスト量子 TLS を使用して、 AWS KMSへ送信するデータの転送時に前方暗号化を提供します。

を使用すると AWS KMS、暗号化するデータへのアクセスをより詳細に制御できます。キー管理および暗号化機能は、アプリケーション内で直接、または と統合された AWS サービスを通じて使用できます AWS KMS。のアプリケーションを記述するか、 AWS のサービス AWS を使用するかにかかわらず、 AWS KMS を使用すると、 を使用できるユーザー AWS KMS keys を制御し、暗号化されたデータにアクセスできます。

AWS KMS は AWS CloudTrail、指定された Amazon S3 バケットにログファイルを配信するサービスである と統合されます。 CloudTrail を使用すると、KMS キーの使用方法と使用時期、および使用者をモニタリングおよび調査できます。

AWS KMS の AWS リージョン

AWS リージョン がサポートされている AWS KMS は、AWS Key Management Service 「エンドポイントとクォータ」に記載されています。がサポート AWS リージョン する で AWS KMS 機能が AWS KMS サポートされていない場合、その機能に関するトピックでリージョンの違いについて説明します。

AWS KMS 料金

他の AWS 製品と同様に、 AWS KMS を使用する場合、契約や最低購入額は必要ありません。 AWS KMS 料金の詳細については、「 の料金AWS Key Management Service」を参照してください。

サービスレベルアグリーメント

AWS Key Management Service は、当社のサービス可用性ポリシーを定義するサービスレベルアグリーメントに基づいています。

詳細はこちら

• で使用される用語と概念については AWS KMS、AWS KMS 「 の概念」を参照してください。

• AWS KMS API の詳細については、「 API AWS Key Management Service リファレンス」を参照してください。さまざまなプログラミング言語の例については、「AWS KMS API のプログラミング」を参照してください。

• AWS CloudFormation テンプレートを使用してキーとエイリアスを作成および管理する方法については、 AWS CloudFormation ユーザーガイドの「 を使用した AWS KMS リソースの作成 AWS CloudFormationおよび AWS Key Management Service リソースタイプのリファレンス」を参照してください。

• AWS KMS が暗号化を使用し、KMS キーを保護する方法の詳細については、AWS Key Management Service 「暗号化の詳細」を参照してください。暗号化の詳細ドキュメントでは、中国 (北京) および中国 (寧夏) リージョンでの AWS KMS の仕組みについては説明していません。

• 各 の FIPS AWS KMS エンドポイントを含むエンドポイントのリストについては、「」の AWS Key Management Service トピックの AWS リージョン「サービスエンドポイント」を参照してください AWS 全般のリファレンス。

• に関する質問については AWS KMS、「 AWS Key Management Service ディスカッションフォーラム」を参照してください。

AWS KMS AWS SDKsの

• AWS Command Line Interface

• AWS SDK for .NET

• AWS SDK for C++

• AWS SDK for Go

• AWS SDK for Java

• AWS SDK for JavaScript

• AWS SDK for PHP

• AWS SDK for Python (Boto3)

• AWS SDK for Ruby